Основная волна распространения вредоносной программы BadRabbit завершилась. Об этом объявили специалисты Group-IB. Данный вирус попытался атаковать российские банки из топ-20, а также парализовал работу многих сайтов, в том числе информационного агентства «Интерфакс», который до сих пор недоступен.
Специалисты отмечают, что атаке подверглись не только российские, но и украинские ресурсы. По словам заместителя главы лаборатории компьютерной криминалистики Group-IB Сергея Никитина, пользователям следует оставаться бдительными, так как единичные случаи заражения пока возможны.
«Сейчас можно говорить о прекращении активного распространения вируса, третья эпидемия практически завершилась. Даже домен, через который распространялся BadRabbit, уже не отвечает», – рассказал Никитин. Он также рассказал, что сейчас подцепить вирус можно в корпоративных сетях в случае кражи логинов и паролей. В таких ситуациях вирус способен установиться без участия пользователя.
Всё об атаке вируса BadRabbit. Основная волна сошла, но будьте бдительны
(Комментарии из социальных сетей временно заблокированы)
Изначально вредоносное ПО заражало компьютеры после скачивания фейкового обновления Adobe Flash Player. Кто именно стоит за атакой, пока не ясно. По словам представителей антивирусной компании ESET, BadRabbit – новая модификация вируса Petya. Такие выводы они сделали, изучив код, в котором нашли много общего. Основной удар BadRabbit пришелся на СМИ. В Group-IBзаявили, что «BadRabbit распространялся с взломанных интернет-ресурсов, среди которых были украинские и российские сайты: fontanka.ru, argumenti.ru». Кроме того, программа пыталась атаковать российские банки из топ-20, но безуспешно.
Гендиректор Group-IB Илья Сачков рассказал, что атака была проведена на инфраструктуры российских банков, которые используют систему обнаружения вторжений. «Эти файлы приходили туда во вторник с 13:00 до 15:00 мск», – пояснил он. Сайты «Интерфакса» и «Фонтанки» перестали работать днем 24 октября. Позже стало известно, что удару хакеров подверглось и Министерство инфраструктуры Украины, метро Киева и аэропорт Одессы.
Эксперты компании Acronis в свою очередь заявили, что между вирусами-вымогателями Bad Rabbit и ExPetya существуют отличия, сообщает РБК со ссылкой на заявлении компании. Аналитики сообщили, что Bad Rabbit использует шифрование с помощью легального драйвера ядра dcrypt.sys. Специалисты уточняют, что программа подписана сертификатами, имитирующими Symantec (американская компания по производству программного обеспечения), из-за чего антивирусам трудно обнаружить заражение.
Всё об атаке вируса BadRabbit. Основная волна сошла, но будьте бдительны
(Комментарии из социальных сетей временно заблокированы)
В отличие от Petya, BadRabbit не использует уязвимость файл-сервера Microsoft srv.sys, а шифрование диска происходит без имитации работы chkdsk.exe – приложения, проверяющего жесткий диск на ошибку файловой системы. «На наш взгляд, этот программа-вымогатель BadRabbit имеет существенные технологические отличия от шифровальщика Petya, при том, что общие черты есть на концептуальном уровне», – рассказали в Acronis. Аналитики добавили, что у вирусов есть и сходство: они оба используют как дисковое, так и файловое шифрование.
После заражения BadRabbit требовал выкуп в размере 0,05 биткоина (16 тыс. рублей). Атака стала уже третьей из подобных в 2017 году. В «Лаборатории Касперского» считают, что основная часть зараженных компьютеров находится в России. Атаки также были зафиксированы на ресурсы на Украине, в Германии и Турции.
В Twitter компании Group-IB говорится, что вирус перестает шифровать данные на компьютере после создания файла «C:windowsinfpub.dat». Затем следует поставить в свойствах файла галочку «только для чтения».
Вирус перестает шифровать данные
(Комментарии из социальных сетей временно заблокированы)
Москва, Иван Гридин
Москва. Другие новости 25.10.17
Дизайнер фильма «Матрица» раскрыл тайну зеленого кода. / Хакеры атаковали сайты России и Украины: требуют выкуп в биткоинах. / «Почта России» подставила Telegram долгой доставкой письма из ФСБ. Читать дальше
© 2017, РИА «Новый День»